新疆雪峰科技(集团)股份有限公司
内部控制评价管理制度
第一章 总则
第一条 为规范集团公司内部控制评价工作,及时发现公司内部控制
缺陷,提出和实施改进方案,确保内部控制有效运行,依据《公司法》、
《企业内部控制基本规范》及其配套指引等法律法规的规定,并结合本公
司的实际情况,制定本制度。
第二条 本制度所称内部控制评价,是指由公司董事会和管理层实施
的,对公司内部控制有效性进行全面评价,形成评价结论,出具评价报告
的过程。内部控制有效性是指公司建立与实施内部控制能够为控制目标的
实现提供合理的保证。
第三条 公司实施内部控制评价至少应遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖
集团公司及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业
务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,
如实反映内部控制设计与运行的有效性。
第四条 内部控制评价的职责
(一)董事会负责公司内部控制的设计、运行和评价工作。
(二)董事会审计委员会对内部控制评价工作进行指导,并审阅集团
公司审计部提交的内部控制评价报告。
(三)监事会对董事会实施内部控制评价进行监督。
1
(四)集团审计部应按照董事会要求,对公司内部控制进行评价和监
督。
第五条 评价依据和标准
依据国家有关法律法规、《企业内部控制基本规范》、《企业内部控
制评价配套指引》、集团公司及下属各子、分、控股公司制度、流程等相
关文件。
第二章 内部控制评价的内容
第六条 集团公司应当根据本管理办法,围绕内部环境、风险评估、
控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,
对内部控制设计与运行情况进行全面评价。
第七条 评价范围为集团公司本部及下属各子、分、控股公司所有营
运环节及贯穿于经营活动各环节之中的各项管理制度。
第八条 公司实施内部控制评价,包括对内部控制设计有效性和运行
有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控
制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照
规定程序得到了正确执行。
第九条 集团公司对被评价单位内部控制的有效性进行评价,应当至
少涉及下列内容:
(一)被评价单位内部控制是否在风险评估的基础上涵盖了公司层面
的风险和所有重要的业务流程层面的风险。
(二)被评价单位内部控制设计的方法是否适当,内部控制建设的时
间进度安排是否科学、阶段性工作要求是否合理。
(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、
2
职责分工和授权是否合理。
(四)被评价单位是否开展内部控制自查并上报有关自查报告。
(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和
问题整改的机制。
(六)被评价单位在评价期间是否出现过重大风险事故等。
第三章 内部控制评价的组织和实施
第十条 内部控制评价按照“统一领导,分级管理”的原则进行,即
公司董事会负责领导,授权于集团公司审计部负责具体组织和实施。
第十一条 公司内部控制评价,一般包括年度评价和日常评价。年度
评价是指公司根据内部控制目标,对公司某一年度建立与实施内部控制的
有效性进行的评价;日常评价是指公司在特定时点对特定范围的内部控制
的有效性进行的评价。
第十二条 年度评价为定期评价,在每年年度结束后至年度报告提交
董事会审议之前,应完成定期检查并将内部控制评价报告提交董事会审计
委员会审阅;日常评价一般为不定期评价,根据需要视具体情况而定,不
受检查时间和检查次数的限制。
第十三条 集团公司各职能部门及各子、分、控股公司应负责组织相
关人员按集团审计部的要求,积极配合开展内控评价工作,被评价主体应
及时提供所需的原始凭证、报表、操作规程和书面报告等文件资料。
第四章 内部控制评价的程序和方法
第十四条 集团公司内部控制评价程序一般包括:制定评价工作方案、
实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
3
第十五条 年度检查评价的程序
(一)组织、召开年度测评会议,明确总体目标及要点。
(二)集团公司审计部制订工作方案,明确评价范围、工作任务、人
员组织、进度安排等。
(三)通过实施现场检查对各相关部门、各子、分、控股公司进行现
场测试、评价。
(四)审计部对评价结果进行汇总分析,对重大缺陷的认定,内控重
大问题的审议,提请董事会审定,编写集团公司年度内部控制评价报告,
并由审计部上报公司董事会审计委员会审阅。
(五)公司董事会审计委员会审议内部控制评价报告,并对存在的缺
陷和问题,以及提出的意见和措施予以研究并形成决议。
(六)审计部将审计委员会审议后的内部控制评价报告提交集团公司
董事会审议并形成决议。集团公司监事会和独立董事亦应对此报告发表意
见。
(七)集团公司董事会在年度报告披露的同时,按规定披露年度内部
控制评价报告,并披露会计师事务所对年度内部控制评价报告的核实评价
意见。
(八)审计部对于检查中发现的内部控制缺陷及实施中存在的问题,
应向董事会报告后进行追踪,以确定相关单位已及时采取适当的改进措施。
第十六条 除定期检查评价外,集团公司审计部亦应代表董事会对公
司内部控制的建立与执行情况进行不定期检查评价,以规范管理,控制和防
范风险。
第十七条 检查评价部门开展内部控制检查评价工作时,应当对被评
价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测
试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设
4
计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,
研究分析内部控制缺陷。
第十八条 集团公司应当通过评估和测试获取与内部控制有效性相关
的证据,并合理保证证据的充分性和适当性。
证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;
证据的适当性是指获取的证据应当与相关控制的设计与运行有关,并能可
靠地反映控制的实际运行状况。
第十九条 内部控制评价人员应当及时记录开展内部控制评价工作的
方法和程序,并以适当形式妥善保存相关证据。
第五章 内部控制缺陷的认定
第二十条 内部控制缺陷包括设计缺陷和运行缺陷。集团公司对内部
控制缺陷的认定,按照规定的权限和程序进行。
第二十一条 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和
一般缺陷。
(一)内部控制缺陷定义
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离
控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果
低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
(二)内部控制缺陷认定标准
(见下页)
5
内控
指标名
缺陷 认定标准 重大缺陷 重要缺陷 一般缺陷
称
类型
定量指标 资产总
>1.0% >0.5%且≤1.0% ≤0.5%
(错报或损失 额
与资产相关对
应资产总额,
利润总
错报或损失与 >5.00% >2.00%且≤5.00% ≤2.00%
额
利润相关对应
利润总额)
(1)控制环境无效;
财务 (2)董事、监事和高级管理人员存
报告 在舞弊并给公司造成重大损失和不
内控 利影响;
内部控制缺陷单独或连同其
缺陷 (3)对已公告的财务报告出现的重 不构成重大
它缺陷具备合理可能性导致
大差错进行错报更正; 缺陷或重要
迹象表 不能及时防止或发现并纠正
定性指标 (4)外部审计发现当期财务报表存 缺陷的其他
现 财务报告中虽然未达到或超
在重大错报,而公司内部控制在运行 内部控制缺
过重要性水平,但仍引起董
过程中未能发现该错报; 陷
事会和管理层重视的错报。
(5)审计委员会和内部审计机构对
内部控制的监督无效;
(6)因会计差错可能导致监管机构
的严重处罚。
定量指标
(直接财产损 参照财报内控缺陷定量标准
失)
(1)公司决策程序不科学导
(1)决策程序不科学,导致重大失 致一般失误;
非财 误; (2)全资、控股子公司未按
报内 (2)发生重大安全、环保事故,造 照法律法规建立恰当的治理
除认定为重
部控 成严重后果; 结构和管理制度,管理散乱;
大缺陷、重
制缺 迹象表 (3)中高层管理人员及核心技术人 (3)一般管理人员及技术人
定性指标 要缺陷之外
陷 现 员流失严重; 员流失较多;
的其他缺
(4)重要业务缺乏制度控制或制度 (4)发生一般安全事故,未
陷。
体系失效; 形成严重后果;
(5)内部控制评价的结果特别是重 (5)信息内容不真实,不完
大重要缺陷未得到整改。 整,受到外部监管机构较重
处罚。
第二十二条 集团公司审计部应当编制内部控制缺陷认定汇总表,结
合日常监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其
成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并
以适当的形式向董事会、审计委员会报告。重大缺陷应当由董事会予以最
终认定。
6
集团公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险
控制在可承受范围内,并追究有关部门或相关人员的责任。
第六章 内部控制评价报告
第二十三条 内部控制评价报告应当分别内部环境、风险评估、控制
活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内
部控制缺陷认定及整改情况、内部控制有效性的结论等作出披露。
第二十四条 内部控制评价报告一般至少应当包括下列内容:
(一)内部控制评价工作的总体情况。
(二)内部控制评价的依据。
(三)内部控制评价的范围。
(四)内部控制评价的程序和方法。
(五)内部控制缺陷及其认定情况。
(六)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(七)内部控制有效性的结论。
集团公司对外报送的内部控制评价报告还应包括董事会对内部控制报
告真实性的声明。
第二十五条 内部控制评价报告应当报经董事会批准后对外披露或报
送相关部门。
集团公司审计部应当关注自内部控制评价报告基准日至内部控制评价
报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影
响程度对评价结论进行相应调整。
第二十六条 集团公司应当以每年 12 月 31 日作为年度内部控制评价
报告的基准日。年度内部控制评价报告应于基准日后 4 个月内报出。
7
第二十七条 集团公司内部控制评价报告、工作底稿及相关资料,保
存时间不少于十年。
第七章 内部控制评价的监督及考核奖惩
第二十八条 集团公司所有内部控制评价活动都由董事会审计委员会
统一负责监督,如相关单位对检查评价的过程或结果的公正性存在质疑,
可以向该审计委员会反映。
第二十九条 集团公司董事会应当根据评价结论对相关单位、部门或
人员实施适当的奖励和惩戒,纳入考核机制。
第八章 附则
第三十条 本制度由集团公司审计部负责解释与修订。
第三十一条 本制度自发布之日起实施。
附件:年度内控测评工作流程与风险控制图
新疆雪峰科技(集团)股份有限公司
二〇二三年三月十六日
8
附件:年度内控测评工作流程与风险控制图
年度内控测评工作流程与风险控制
不相容责任部门/责任人的职责分工与审批权限划分
业务风险 流程控制
监事会 被审计单位
董事会 审计委员会 审计部
(部门)
1、拟定年度测评工作
年度内控评价工作 开始 实施方案,确保实现
目标不明确、重点 工作目标。
不突出,影响公司 2、组织实施现场测试
对外披露信息的及 工作,获取充分、适
测评工作
时性。 当的审计证据。
方案
3、依据审计证据,汇
1 总评价结果,出具审
计报告。
组织、召开年度测评会议
对评价结果中缺陷 4、审计委员会审议年
明确总体目标及要点
认定未经相应决策 度内部控制评价报
机构审议,易造成 重大缺陷认定 告。
公司对外信息披露 5、董事会审议年度内
的真实性、可靠性。 控评价报告。
审议 出具评价 现场测试
审议 6、对测评中发现的缺
报告
2 陷提出整改要求。
3
5 4 7、被审计单位提出整
内控测评中存在的
改措施,并落实整改。
缺陷未提出落实整 评价报告 8、审计部验收整改关
改要求,易造成公
闭情况。
司资产流失,影响
公司管理水平提
升。
监督 整改通知
内控测评中存在 落实
的缺陷缺失跟踪 7
6
管理,可能影响公
司内控管理目标
的实现。 验收
8
结束
文件资料 《内部审计管理制度》、《内部控制评价管理制度》
责任部门 审计委员会、审计部、被审计单位或部门
9